1 \documentclass[a4paper,
10pt
]{article
}
3 \usepackage[francais
]{babel
}
4 \usepackage[utf8
]{inputenc}
5 \usepackage[T1]{fontenc}
13 \usepackage[usenames,dvipsnames
]{xcolor
}
16 \urldef{\dotnetcrypto}\url{http://msdn.microsoft.com/en-us/library/System.Security.Cryptography
%28v=vs.110%29.aspx}
17 \urldef{\monodevelop}\url{http://www.monodevelop.com/
}
18 \urldef{\rsacryptoserviceprovider}\url{http://msdn.microsoft.com/en-us/library/system.security.cryptography.rsacryptoserviceprovider
%28v=vs.110%29.aspx}
19 \urldef{\rsasecurity}\url{http://en.wikipedia.org/wiki/RSA_Security
}
20 \urldef{\wikiml}\url{http://en.wikipedia.org/wiki/ML_
%28programming_language%29}
22 \title{ICR - Labo \
#2 :
\textit{Conception et implémentation d'un container sécurisé pour des données médicales
}}
25 \lstdefinelanguage{FSharp
}%
26 {morekeywords=
{let, new, match, with, rec, open, module, namespace, type, of, member,
%
27 and, for, while, true, false, in, do, begin, end, fun, function, return, yield, try,
%
28 mutable, if, then, else, cloud, async, static, use, abstract, interface, inherit, finally
},
29 otherkeywords=
{ let!, return!, do!, yield!, use!, var, from, select, where, order, by
},
30 keywordstyle=
\color{blue
}\bfseries,
34 xleftmargin=
\parindent,
35 aboveskip=
\bigskipamount,
37 morecomment=
[l
][\color{OliveGreen
}]{///
},
38 morecomment=
[l
][\color{OliveGreen
}]{//
},
39 morecomment=
[s
][\color{OliveGreen
}]{{(*}{*)}},
41 showstringspaces=false,
43 stringstyle=
\color{red
},
53 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
54 \section{Introduction
}
56 Le but de ce laboratoire est de définir les algorithmes cryptographiques et leurs paramètres afin de sécuriser des données médicales. Une donnée médicale est représentée par un fichier qui devra être sécurisé au sein d'un container dont le format sera défini par nos soins. Une implémentation sera ensuite proposée.
59 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
60 \section{Niveaux de sécurité
}
62 \subsection{Quel est le niveau de sécurité que l'on souhaite atteindre ?
}
65 \item Confidentialité : les données chiffrées ne doivent pas pouvoir être décryptées par un attaquant.
66 \item Authenticité : un attaquant ne doit pas pouvoir forger un container. Une signature est réalisée à l'aide d'une paire de clefs
\emph{RSA
} publique-privée.
67 \item Intégrité : il ne faut pas que les données chiffrées aient pu être altérées par un attaquant.
71 \subsection{Comment s'assure-t-on que les données sont stockées de manière confidentielle ? En particulier en ce qui concerne les méta-données ?
}
73 Les méta-données ainsi que les données sont chiffrées ensemble. Voir le format du container décrit ci-après.
76 \subsection{Comment s'assure-t-on que les données stockées sont authentiques ? Quels sont les risques à prendre en compte ?
}
78 L'empreinte des données est signée à l'aide d'une clef privée donnée en paramètre de l'
\emph{API
} : ceci représente la signature qui est placée dans le container. Lors du déchiffrement, la clef publique correspondante est fournie puis utilisée pour déchiffrer l'empreinte qui est comparée à l'empreinte des données.
81 \subsection{Comment s'assure-t-on que les données stockées sont intègres ?
}
83 Cela est réalisé avec un
\emph{MAC
}, dans notre cas nous utilisons
\emph{HMAC-SHA256
} sur l'ensemble des données chiffrées (
\emph{Encrypt-then-MAC
}).
86 \subsection{Quels sont les clefs cryptographiques requises qu'il est nécessaire de gérer ?
}
88 \subsubsection{Clefs externes
}
90 Concerne les clefs externes à l'
\emph{API
}.
93 \item Une paire de clefs
\emph{RSA-
2048} pour la signature.
94 \item Une paire de clefs
\emph{RSA-
2048} pour le chiffrement des clefs
\emph{AES
}.
98 \subsubsection{Clefs internes
}
100 Concerne les clefs gérées à l'intérieur du container.
103 \item Une clef de
128 bits pour
\emph{AES
}.
104 \item Une clef de
256 bits pour
\emph{HMAC
}.
107 Ces clefs sont générées aléatoirement à chaque création d'un container.
110 \section{Choix des algorithmes et des paramètres
}
113 \item \emph{RSA-
2048} pour la signature ainsi que pour le chiffrage des clefs
\emph{AES
} et
\emph{HMAC
}. Le bourrage
\emph{OAEP
} (
\emph{PKCS\
#1 v2
}) est utilisé ;
114 \item \emph{HMAC-SHA256
} pour la vérification de l'intégrité ;
115 \item \emph{AES-CBC128
} pour le chiffrement symétrique du contenu du fichier et des méta-données associées. Le bourrage
\emph{PKCS7
} est utilisé.
118 D'après
\cite{wiki-key-size
}, la société
\emph{RSA Security
}\footnote{\rsasecurity} annonce qu'une taille de clefs
\emph{RSA
} de
2048 bits est suffisante jusqu'en
2030. Cela dépend également du niveau d'importance des documents que l'on souhaite chiffrer dans la mesure ou une attaque demande énormément de moyens.
120 Toujours d'après
\cite{wiki-key-size
}, une taille de clef
\emph{AES
} de
128 bits reste, actuellement, hors de portée de toutes attaques.
123 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
124 \section{Format du container
}
126 Le format est défini comme suit en
\emph{EBNF
}. Les valeurs entre crochets correspondent soit à une taille en bits soit à un type.
128 \begin{lstlisting
}[frame=single, breaklines, basicstyle=
\ttfamily\footnotesize]
129 container = header, ciphertext ;
130 header = mac
[256], signature
[2048], keys
[2048] ;
131 ciphertext = AES(plaintext) ;
132 plaintext = meta-data, file-content ;
133 meta-data = nb-meta-data
[byte
],
{ key-value-pair
} ;
134 key-value-pair = key
[string
], value
[string
] ;
135 string = size
[vint
], content-utf8 ;
138 \texttt{nb-meta-data
} est le nombre de paires clef-valeur des méta-données.
140 \texttt{keys
} correspond aux clefs $k_c$ et $k_a$ ainsi qu'à l'
\emph{IV
}, le tout chiffré avec
\emph{RSA-
2048}. La taille des données chiffrées est égale à $k_c + k_a + iv =
128 +
256 +
128 =
512\,bits$.
142 Les méta-données (
\texttt{meta-data
}) peuvent contenir, par exemple, le nom du fichier, sa date de création, ses droits, ou toutes autres données associées.
144 Le type
\texttt{vint
} correspond à un entier de taille variable, initialement occupant un octet.
146 Comme les clefs (
\emph{AES
} et
\emph{HMAC-SHA256
}) sont différentes à chaque chiffrement, que le
\emph{MAC
} dépend de sa clef et des données chiffrées et que la signature dépend du
\emph{MAC
} alors l'ensemble des octets des différentes parties du fichier résultat va être fortement différent d'un chiffrement à l'autre pour le même fichier en entrée.
149 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
152 \subsection{Chiffrement
}
158 \item $k_
{pub
}$ : clef publique RSA
159 \item $k_
{signpriv
}$ : clef privée de signature RSA
166 \item Génération d'une clef
128 bits pour
\emph{AES
} $
\rightarrow k_c$.
167 \item Génération d'une clef
256 bits pour
\emph{MAC
} $
\rightarrow k_a$.
168 \item Génération d'un
\emph{IV
} 128 bits pour le mode
\emph{CBC
} $
\rightarrow iv$.
169 \item Construction du $plaintext$, voir format ci dessus.
170 \item Chiffrement du $plaintext$ avec
\emph{AES-CBC128
}, $k_c$ et $iv
\rightarrow ciphertext$.
171 \item Calcul du
\emph{HMAC-SHA256
} de $ciphertext$ $
\rightarrow mac$.
172 \item Signature de $mac$ avec $k_
{signpriv
}$ $
\rightarrow sig$.
173 \item Chiffrement de $k_c + k_a + iv$ avec $k_
{pub
} \rightarrow keys$.
174 \item Renvoie $mac + sig + keys + ciphertext$.
177 Où $+$ dénote la concaténation.
180 \subsection{Déchiffrement
}
185 \item $c$ : container chiffrés
186 \item $k_
{priv
}$ : clef privée RSA
187 \item $k_
{signpub
}$ : la clef publique de signature RSA
193 \item Lecture de $mac$, calcul de $mac'$ sur $c$ comparaison des deux afin de vérifier l'intégrité.
194 \item Vérification de la signature avec $k_
{signpub
}$.
195 \item Déchiffrement de $k_c + k_a + iv$ avec $k_
{priv
}$.
196 \item Déchiffrement du reste des données ($ciphertext$).
199 Ce processus nécessite deux cycles de lecture des données, le premier pour le calcul de $mac'$ et le deuxième pour le déchiffrement. Le deuxième cycle n'est effectué que si l'intégrité et l'authenticité ont été validées.
202 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
203 \section{Implémentation
}
205 Nous utilisons ici la plate-forme
\emph{.NET
} ainsi que le langage
\emph{F\#
}, un dialecte de
\emph{ML
}\footnote{\wikiml}. L'ensemble des éléments cryptographiques requis sont fournis par
\emph{.NET
} \footnote{\dotnetcrypto}.
207 Deux
\emph{assemblies
} sont créées :
210 \item \emph{CryptoFile
} :
\emph{Library
} mettant à disposition l'
\emph{API
} de chiffrement de fichier et de déchiffrement de container.
211 \item \emph{CryptoFileTests
} : Exécutable utilisant la
\emph{library
} \emph{CryptoFile
} et permettant d'utiliser l'
\emph{API
} à l'aide d'arguments fournis par la ligne de commande.
214 \subsection{Utilisation
}
216 Il est possible de compiler la solution à l'aide de
\emph{MonoDevelop
}\footnote{\monodevelop} ou de
\emph{Visual Studio
2012}. Le script
\emph{Bash
} \texttt{labo2-fsharp/run
\_tests.sh
} permet de compiler la solution puis d'exécuter un certain nombre de tests.
218 À partir du dossier
\texttt{labo2-fsharp
} et après avoir compiler en
\emph{release
} la solution, voici ce qu'il est possible d'effectuer :
221 \item \texttt{CryptoFileTests/bin/Release/CryptoFileTests.exe tests
} : Réalise une série de tests.
222 \item \texttt{CryptoFileTests/bin/Release/CryptoFileTests.exe encrypt <file> <container>
} : Chiffre le fichier
\texttt{<file>
} vers le container
\texttt{<container>
}.
223 \item \texttt{CryptoFileTests/bin/Release/CryptoFileTests.exe decrypt <container> <output directory>
} : Déchiffre le container
\texttt{<container>
} dans le dossier
\texttt{<output directory>
}.
226 Les clefs publiques et privées pour le chiffrement ainsi que pour la réalisation de la signature se trouvent dans les fichiers
\texttt{keys-crypt.priv
},
\texttt{keys-crypt.pub
},
\texttt{keys-sign.priv
} et
\texttt{keys-sign.pub
}. Ceux-ci sont automatiquement générés dans le cas où ils sont introuvables.
229 \subsection{Organisation du code
}
231 La
\emph{ĺibrary
} \emph{CryptoFile
} est composée de trois fichiers :
234 \item \emph{Types.fs
} : Quelques types publics.
235 \item \emph{Crypto.fs
} : Toutes les primitives cryptographiques nécessaires.
236 \item \emph{UnitTests.fs
} : Quelques tests unitaires du module
\emph{Crypto
}.
237 \item \emph{API.fs
} : L'interface publique de la
\emph{library
}. Elle est détaillée ci-après.
242 Voici la partie publique de la
\emph{library
} \emph{CryptoFile
}.
244 \begin{minipage
}{\linewidth} % Pour éviter que le listing soit séparé sur deux pages.
245 \begin{lstlisting
}[language=FSharp, frame=single, basicstyle=
\ttfamily\footnotesize]
247 (* Generates a pair of keys (public * private)
248 to be used in the following two functions.
249 You have the reponsability of keeping
250 the private part secret. *)
251 let generatKeysPair : Key * Key
253 let encryptFile (inputFilePath : string)
254 (outputFilePath : string)
255 (signaturePrivKey: Key)
258 let decryptFile (sourceFilePath : string)
259 (targetDirPath : string)
260 (signaturePubKey: Key)
261 (decryptPrivKey : Key)
266 \subsection{Mesures de performance
}
268 Quelques mesures sur un fichier de
871 MiB ont été effectuées sous
\emph{Linux
} avec
\emph{Mono
} 3.10.0 ainsi que sous
\emph{Windows
8} avec
\emph{Visual Studio
2012}. Il est a noter que l'implémentation
\emph{AES
} de
\emph{Mono
} est en
\emph{C\#
} et n'utilise évidemment pas l’accélération matérielle d'
\emph{Intel
} présente sur la machine :
\emph{AES-NI
}.
270 Les tests sous
\emph{Windows
8} ont été fait sur une machine ne possédant pas
\emph{AES-NI
}. Cet ensemble d'instructions est normalement supporté par l’implémentation du
\emph{runtime
} \emph{.NET
} de
\emph{Microsoft
}.
272 \begin{tabular
}{ l | r | r | r | r
}
273 &
\multicolumn{2}{c|
}{Chiffrement
} &
\multicolumn{2}{|c
}{Déchiffrement
} \\
275 &
\multicolumn{1}{c
}{\emph{Mono
}} &
\multicolumn{1}{|c|
}{\emph{MS .NET
}} &
\multicolumn{1}{|c|
}{\emph{Mono
}} &
\multicolumn{1}{c
}{\emph{MS .NET
}} \\
277 Temps &
39 s &
20 s &
48 s &
20 s \\
278 Mémoire utilisée &
7.0 MiB &
14 MiB &
15.2 MiB &
13.9 MiB \\
279 Taux
\emph{CPU
} &
1 x
100 \% &
1 x
100 \% &
1 x
100 \% &
1 x
100 \% \\
283 \section{Analyse de la sécurité de l'implémentation
}
285 \subsection{Quelles sont les parties critiques du code et comment s'assure-t-on que ces parties soient correctement implémentées ?
}
287 Le choix des algorithmes, de leurs paramètres et de leur implémentations est une partie critique.
289 La génération des clefs
\emph{AES
} doit être faite avec un générateur cryptographique. Dans notre cas nous utilisons
\emph{RSACryptoServiceProvider
}\footnote{\rsacryptoserviceprovider}.
292 \subsection{Quels sont les points faibles restants et quelles sont les possibilités de les corriger ?
}
294 Les deux clefs privées
\emph{RSA
} doivent absolument rester secrètes. Pour ce faire il faudrait chiffrer les fichiers contenant ces clefs à l'aide d'une
\emph{passphrase
} robuste et garder celle-ci en sécurité.
297 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
300 Ce laboratoire a permis de mettre en évidence la problématique de la sécurisation de fichiers ainsi que de leurs méta-données associées. Le choix de bons algorithmes et des bons paramètres associés est capital pour garantir la sécurité des fichiers.
303 \bibliographystyle{plain
}